1. IN Groupe – Français
  2. /
  3. Newsroom
  4. /
  5. Rapport sur les tendances : Sécuriser les identités des collaborateurs en 2026

Back

Trend Report: Securing Workforce Identities in 2026

Rapport sur les tendances : Sécuriser les identités des collaborateurs en 2026

Quatre questions à Christophe Chollet, Directeur de l’Innovation chez IN Groupe.

À l’heure où les cyberattaques se multiplient, se professionnalisent et s’appuient de plus en plus sur l’IA, les entreprises et les organisations doivent repenser leurs priorités en matière de sécurité. Si les modes d’attaque évoluent, une constante se confirme : la sécurité des identités reste l’un des principaux points d’entrée exploités par les pirates informatiques.

À l’occasion du lancement du «Rapport sur les tendances 2026 : Sécuriser les identités des collaborateurs» d’IN Groupe, Christophe Chollet, Directeur de l’Innovation chez IN Groupe, revient sur les principales tendances qui façonnent le paysage de la cybersécurité et réfléchit aux mesures que les entreprises doivent mettre en place pour se protéger efficacement.

1. Quels sont les principaux modes d’attaque qui touchent actuellement les entreprises ?

Les méthodes d’attaque évoluent, notamment avec l’utilisation de l’IA, mais le maillon faible reste le facteur humain. Les attaques les plus efficaces (et les moins coûteuses à mener) reposent sur l’ingénierie sociale. La recette est simple : recueillir des informations sur une personne, créer un contexte crédible, établir la confiance, puis déclencher une action, obtenir un accès ou une autorisation. Selon le Baromètre CESIN 2025, 60 % des cyberattaques réussies en France commencent encore par un e-mail frauduleux.

Les méthodes d'attaque évoluent grâce à l'IA, mais le maillon faible reste le facteur humain. Derrière les attaques les plus sophistiquées, on retrouve toujours des personnes trompées par des pirates informatiques se faisant passer pour des interlocuteurs légitimes.

Ce mécanisme existe depuis longtemps, mais il prend désormais des formes bien plus sophistiquées. L’exemple le plus frappant qui me vient à l’esprit est le suivant : Au début de l’année 2024, des attaquants ont utilisé des vidéos et des enregistrements audio deepfake générés par l’IA et représentant des membres du comité de direction pour convaincre un collaborateur du service finance à Hong Kong que la demande frauduleuse d’une « transaction confidentielle de 200 millions de HK$ (25,6 millions de USD) » était légitime. L’employé a traité cette demande, de bonne foi. Derrière les attaques les plus avancées, on retrouve toujours des personnes trompées par des pirates informatiques se faisant passer pour des interlocuteurs légitimes.

2. Pourquoi l’identité est-elle devenue la pierre angulaire de la cybersécurité ?

Parce qu’aujourd’hui, l’identité détermine l’accès. Elle régit l’entrée dans les systèmes, l’accès aux données, les niveaux d’autorisation et la capacité à effectuer des actions spécifiques. En d’autres termes, l’identité est plus que jamais la clé qui ouvre la porte. Une fois cette clé compromise, toute l’architecture de sécurité devient vulnérable.

Aujourd’hui, l’identité détermine l’accès. Une fois cette identité compromise, l’ensemble de l’architecture de sécurité devient vulnérable.

 

Il existe bien sûr plusieurs grandes catégories de cyberattaques. Les « attaques par déni de service » consistent à perturber les services. Les « attaques par force brute » consistent pour les pirates à forcer l’entrée par la cryptographie, en testant des combinaisons de mots de passe jusqu’à ce qu’ils trouvent la bonne. Les vulnérabilités logicielles restent également un point d’entrée majeur : selon le Baromètre CESIN 2025, elles représentent 47 % des vecteurs d’intrusion initiaux. Mais dans la pratique, l’une des voies d’accès les plus courantes et les plus efficaces vers les entreprises et les organisations reste l’attaque basée sur l’identité : hameçonnage, ingénierie sociale, vol d’identifiants. Toutes reposent sur le même objectif : soit voler les identifiants d’une personne, soit la convaincre de céder elle-même ses accès. C’est précisément pour cette raison que la sécurisation de l’identité est devenue un enjeu si central.

Notre mission chez IN Groupe, est de renforcer la confiance dans l’identité et dans sa vérification. Qu'il s’agisse de l’identité d’une personne ou d’un appareil et demain d’un agent IA, afin de mieux protéger l’accès aux systèmes et aux services.

3. Quelles sont aujourd’hui les principales priorités technologiques pour mieux sécuriser les identités au sein des entreprises et des organisations ?

La première priorité est clairement le déploiement de l’authentification multifactorielle (MFA). Les mots de passe seuls, même les plus forts, ne suffisent plus à nous protéger : ils peuvent être volés, réutilisés, partagés ou contournés. De nombreuses entreprises n’ont pas encore déployé le MFA à grande échelle, alors qu’il s’agit de l’une des mesures les plus efficaces pour réduire les risques liés au vol d’identifiants.

La deuxième priorité concerne la vérification d’identité, en particulier dans les contextes de travail à distance. Comme nous le soulignons dans notre rapport sur les tendances 2026, avec le travail hybride, l’intégration numérique et la multiplication des interactions à distance, il est devenu essentiel de vérifier non seulement une identité, mais aussi le lien entre cette identité et la personne qui la présente. Par exemple, qu’est-ce qui vous prouve que l’image que vous voyez sur votre écran est bien réelle, et non une photographie, une vidéo rediffusée ou un deepfake ? C'est là qu'interviennent la biométrie, et plus particulièrement la détection des « attaques par présentation » (par exemple, une personne présentant une photo ou portant un masque devant une caméra) et des « attaques par injection vidéo » (où le flux de la caméra est entièrement remplacé par un flux généré). Ces technologies sont conçues pour garantir que la personne qui interagit avec le système est physiquement présente et est bien celle qu'elle prétend être.

Avec le travail hybride, l'enrôlement digital et la multiplication des interactions à distance, il est devenu essentiel de vérifier non seulement une identité, mais aussi le lien entre celle-ci et la personne qui la présente.

Plus largementcela montre que la cybersécurité n’est plus une question purement technique : tant que la principale vulnérabilité reste humaine, cela devient également une question de leadership, de formation et de sensibilisation à l’échelle de l’ensemble de l’entreprise ou de l’organisation. 

4. Au-delà des menaces actuelles, les organisations devraient-elles déjà se préparer au risque post-quantique ?

Oui. Et le compte à rebours a déjà commencé. Google a annoncé que l’informatique quantique serait une réalité en 2029 – c’est-à-dire demain ! Les algorithmes cryptographiques qui sécurisent actuellement les échanges de données, les signatures numériques et les mécanismes d’authentification (RSA, courbes elliptiques…) seront affaiblis par la puissance de l’ordinateur quantique.

Déjà des acteurs malveillants collectent aujourd’hui des données chiffrées, dans l’intention de les déchiffrer plus tard. Mais le risque va plus loin. Si l’informatique quantique devient accessible, la création d’un faux passeport électronique techniquement valide pourrait être réalisée en quelques heures, car toute la sécurité d’un passeport repose sur ces algorithmes asymétriques. Pour IN Groupe, il s’agit donc d’une priorité stratégique immédiate, et c’est pourquoi nous agissons déjà en ce sens.

La bonne nouvelle : des algorithmes post-quantiques, conçus pour résister à l’informatique quantique, existent. La transition prendra toutefois du temps, tant pour les schémas de chiffrement des données que pour les mécanismes de signature numérique. C’est précisément pour cette raison que c’est le moment idéal pour commencer !

Télécharger notre rapport - Sécurisation des identités professionnelles (en anglais)

Ce site web utilise des cookies

Les cookies sont de petits fichiers texte. Ils contiennent des données qui sont stockées sur votre appareil. Pour nous permettre de placer certains types de cookies, nous devons obtenir votre consentement. IN Groupe utilise les types de cookies suivants. Pour en savoir plus sur les cookies que nous utilisons et les durées de stockage, cliquez ici pour accéder à notre politique en matière de cookies.

Gérer les paramètres des cookies

Cookies nécessaires

Les cookies nécessaires sont les cookies qui doivent être enregistrés pour que les fonctions de base du site web puissent fonctionner. Les fonctions de base sont par exemple les cookies qui sont nécessaires à l’utilisation des menus du site web et à la navigation sur le site.

Cookies fonctionnels

Les cookies fonctionnels doivent être placés sur le site web pour qu’il fonctionne comme vous le souhaitez. Par exemple, pour reconnaître la langue que vous préférez, pour savoir si vous êtes connecté ou non, pour assurer la sécurité du site web, pour mémoriser les données de connexion ou pour pouvoir trier les produits sur le site en fonction de vos préférences.

Cookies destinés aux statistiques

Pour nous permettre de mesurer vos interactions avec le site web, nous plaçons des cookies afin d’enregistrer des statistiques. Ces cookies rendent les données personnelles anonymes.

Cookies pour le suivi des publicités

Pour nous permettre d’offrir un meilleur service et une meilleure expérience, nous plaçons des cookies afin de pouvoir proposer des publicités pertinentes. Un autre objectif de ce traitement est de nous permettre de promouvoir des produits ou des services, de proposer des offres personnalisées ou de suggérer des recommandations en fonction de ce que vous avez déjà acheté dans le passé.